Sicherheitseinstellungen bei Microsoft 365 Copilot
In gelenkten Bahnen
Veröffentlicht in Ausgabe 10/2024 - SCHWERPUNKT
Copilot lässt sich über ein Chatinterface nutzen und kann unmittelbar Daten aus Meetings, E-Mails, Dokumenten, Präsentationen, Kalendern, Notizen und Kontakten extrahieren, analysieren und Ergebnisse zusammenstellen. Jeder Anwender muss dabei die Verantwortung für das Überprüfen von KI-generierten Inhalten übernehmen. Denn künstliche Intelligenz halluziniert manchmal und liefert falsche Antworten. Verstöße gegen Datenschutzbestimmungen, Anwendungsfehler und mangelnde Nachvollziehbarkeit der Ergebnisse stellen weitere Risiken dar.
Die Verwaltung von externen Mitarbeitern und Gästen im M365-Umfeld ist eine zusätzliche Herausforderung. Vor allem die Accounts und Zugriffsrechte von externen oder ausscheidenden Angestellten müssen konsequent geregelt und nach Beendigung der Zusammenarbeit auch gelöscht werden. Dies gestaltet sich aufgrund der knappen Personal- und IT-Ressourcen immer schwieriger.
Weiterhin nicht zu vernachlässigen ist ein fundiertes Wissen um die eigenen Daten. Wenn ein Unternehmen nicht genau darüber im Bilde ist, wo sich seine Inhalte befinden und wer darauf Zugriff hat, wird es schwierig, sensible Daten angemessen zu schützen. Umso schlimmer, wenn streng geheime Daten in die Trainingsbasis der KI-Software gelangen und durch den Echtzeitzugriff auf sämtliche Informationen in der M365-Umgebung unternehmensweit und vielleicht sogar externen Mitarbeitern zur Verfügung stehen.
Copilot lässt sich über ein Chatinterface nutzen und kann unmittelbar Daten aus Meetings, E-Mails, Dokumenten, Präsentationen, Kalendern, Notizen und Kontakten extrahieren, analysieren und Ergebnisse zusammenstellen. Jeder Anwender muss dabei die Verantwortung für das Überprüfen von KI-generierten Inhalten übernehmen. Denn künstliche Intelligenz halluziniert manchmal und liefert falsche Antworten. Verstöße gegen Datenschutzbestimmungen, Anwendungsfehler und mangelnde Nachvollziehbarkeit der Ergebnisse stellen weitere Risiken dar.
Die Verwaltung von externen Mitarbeitern und Gästen im M365-Umfeld ist eine zusätzliche Herausforderung. Vor allem die Accounts und Zugriffsrechte von externen oder ausscheidenden Angestellten müssen konsequent geregelt und nach Beendigung der Zusammenarbeit auch gelöscht werden. Dies gestaltet sich aufgrund der knappen Personal- und IT-Ressourcen immer schwieriger.
Weiterhin nicht zu vernachlässigen ist ein fundiertes Wissen um die eigenen Daten. Wenn ein Unternehmen nicht genau darüber im Bilde ist, wo sich seine Inhalte befinden und wer darauf Zugriff hat, wird es schwierig, sensible Daten angemessen zu schützen. Umso schlimmer, wenn streng geheime Daten in die Trainingsbasis der KI-Software gelangen und durch den Echtzeitzugriff auf sämtliche Informationen in der M365-Umgebung unternehmensweit und vielleicht sogar externen Mitarbeitern zur Verfügung stehen.
Falsche Berechtigungen als Einfallstor
Das Thema der Berechtigungen ist nicht so einfach zu lösen. Copilot bringt zwar alle Organisationsdaten auf den Bildschirm, für die einzelne Benutzer mindestens die Anzeigeberechtigung haben. Zudem gilt es, auch direkte Anwenderberechtigungen, M365-Gruppenberechtigungen, lokale SharePoint-Rechte, Gast-, externe und öffentlichen Zugriffe sowie Linkzugriffe zu verwalten. Die Vergabe und Kontrolle von Zugriffsrechten sollte natürlich nicht ausschließlich in der Hand der Anwender, sondern im Aufgabengebiet der IT-Administratoren und Sicherheitsverantwortlichen liegen.
Zu viel Sicherheit hat zuweilen negative Folgen: Das Sperren oder Verschlüsseln von Daten kann Arbeitsabläufe einschränken, und Kennzeichnungstechnologien sind meist auf bestimmte Dateitypen beschränkt. Je mehr Labels eine Organisation hat, desto verwirrender wird es für die Anwender. Dieses Problem ist in großen Organisationen besonders stark ausgeprägt.
Der Schlüssel liegt im ausbalancierten Zusammenspiel von Ablagestrukturen und Berechtigungen, denn Copilot arbeitet nur mit den Daten, auf die der angemeldete Benutzer Zugriff hat – sei es über die Freigabe einer Teammitgliedschaft, eines Channels, einer verknüpften SharePoint-Website, einer Dokumentenbibliothek oder direkt das Verzeichnis beziehungsweise Dokument.
Allgemeine Sicherheitsmaßnahmen
Es gibt eine Reihe von allgemeinen Maßnahmen, die beim Thema Sicherheit eine wichtige Rolle spielen, aber auch konkrete Einstellungen, die IT-Administratoren im Copilot-Umfeld vornehmen können. Wichtig sind zunächst die Sensibilisierung und Schulung der Mitarbeiter. Da sich heute jede beliebige E-Mail-Adresse fälschen lässt und Sprachassistenten so gut entwickelt sind, geraten kompromittierte Nachrichten immer professioneller. Auch E-Mail-Anhänge wie PDFs können durch Schadsoftware verseucht sein. Weiterhin ist Social Engineering, also die persönliche Ansprache mit einem angeblichen Geschäftsbezug, keine Seltenheit mehr.
Darüber hinaus sollten sich alle Mitarbeiter der Wichtigkeit sensibler Daten bewusst sein und sicherstellen, dass sie keine vertraulichen Informationen in ihren Dokumenten preisgeben. Dafür sind Richtlinien und Prozesse von größter Relevanz. Auch KMU sollten klare Vorgaben für den Umgang mit Tools und in diesem Zusammenhang mit sensiblen Informationen festlegen. Mitarbeiter müssen diese Richtlinien strikt einhalten. Es ist wichtig, dass alle Beteiligten im Unternehmen mit Abteilungen wie der IT oder Entwicklung und Management zusammenarbeiten, um sicherzustellen, dass die Sicherheitsregeln eingehalten werden.
Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme. Sie legt Anforderungen für die Implementierung, Überwachung und kontinuierliche Verbesserung von Sicherheitsprozessen fest. Administratoren sollten sich mit der ISO 27001 vertraut machen und sicherstellen, dass ihre Dokumentation diesen Standards entspricht.
Doch nicht nur Schulungen und Normen sind wichtig, sondern auch Schritte für den Ernstfall. Jede Organisation sollte Notfallpläne für den Fall eines Sicherheitsvorfalls erstellen. Angestellte sollten wissen, wie sie reagieren müssen, wenn ihre Dokumente kompromittiert werden. Dazu gehören eine mehrstufige Meldung und enge Zusammenarbeit mit nationalen Cybersicherheitsbehörden im Falle eines Vorfalls. Wichtig ist dabei das Erarbeiten von Konzepten für die Betriebsaufrechterhaltung und Sicherheit der Lieferketten. Regelmäßiges Überprüfen und Aktualisieren von Kontrollmechanismen, Überwachen von Cyberbedrohungen und -anfälligkeiten sollten zum Alltag der IT gehören.
Zu den weiteren allgemeinen Maßnahmen zur Prävention von Sicherheitsvorfällen zählen zudem die folgenden Punkte:
- Multifaktor-Authentifizierung
- Aufrechterhalten des Betriebs durch Backup- und Wiederherstellungskonzepte nach einem Notfall
- Sicherheitsprozesse bei Einkauf, Entwicklung und Wartung der IT-Systeme und Hardware
- Personalsicherheit und Zugriffskontrolle,
- Abschluss einer Cyberversicherung
Tenant für Copilot einrichten
Ein Tenant ist das Hauptkonto für Microsoft 365 beziehungsweise Azure. Er stellt die logische Einheit dar, unter der sich die Benutzer, Anwendungen, Lizenzen und Daten einer Organisationseinheit zusammenfassen und verwalten lassen. Um Copilot nutzen zu können, muss der Tenant entsprechend konfiguriert sein. Dazu gehört zum Beispiel eine Erweiterung, mit der auch öffentlich zugängliche Quellen über Bing zur Analyse herangezogen werden können. Für ein einwandfreies Funktionieren müssen die Hosts "*.office.com" und "www.microsoft365.com" über die Ports 443 und 80 erreichbar sein.
Wichtige Sicherheitmaßnahmen für Copilot
Unternehmen können sicherstellen, dass ihre Informationen innerhalb der EU verbleiben, indem sie die Datenbeschränkung für Copilot aktivieren. Die Datenresidenz lässt sich durch die Auswahl bestimmter Regionen für die Datenspeicherung steuern. Copilot für Microsoft 365 erfüllt die Anforderungen an die Datenresidenz, wie sie in den Microsoft-Produktbedingungen und dem Datenschutzzusatz beschrieben sind. Copilot wurde am 1. März 2024 als gedeckter Workload in die Datenresidenzverpflichtungen aufgenommen. Für Firmen in der EU ist Copilot ein EU-Datenresidenzdienst.
Wie bereits erwähnt, ist außerdem der Bereich Berechtigungen und Zugriffskontrolle entscheidend: Nutzen Unternehmen Copilot, sollten sie diese Rechte sorgfältig verwalten und sicherstellen, dass nur autorisierte Benutzer auf die Anwendung zugreifen können. Als IT-Verantwortlicher sollten Sie die Einstellungen dafür sorgfältig administrieren. Dies erreichen Sie etwa durch das Zuweisen von Rollen und Berechtigungen in M365. Beispielsweise können Sie Benutzergruppen erstellen und diesen spezifische Rechte zuteilen.
Microsoft Graph ist eine API, die den Zugriff auf Daten in M365-Diensten ermöglicht. Sie bietet Informationen über Benutzer, Gruppen, Dateien, E-Mails, Kalender und mehr. Das Arbeiten mit Graph-Daten lässt sich über Entra-ID-Rollen und -Berechtigungen steuern. Entra ID ist der Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Insgesamt bietet Entra ID eine robuste Plattform zur Verwaltung von Identitäten und Rechten, um die Sicherheit und den Datenschutz zu gewährleisten.
Admins können die Aktivitäten von Copilot überwachen, um ungewöhnliche Vorfälle oder Datenschutzverletzungen zu erkennen. Die Protokolldaten lassen sich zu Analyse- und Sicherheitszwecken verwenden. Sie sollten Mitarbeiter also über die Nutzung von Copilot informieren, damit diese die Datenschutzrichtlinien einhalten und die Anwendung sicher einsetzen können. Vor allem muss der Einsatz von KI verantwortungsvoll erfolgen. Dazu sind die Anwender aufgefordert, sich mit den ethischen Richtlinien für KI vertraut zu machen.
| Zero-Trust-Prinzip | Definition | Erfüllt von |
|---|---|---|
| Explizit verifizieren | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. | Erzwingen Sie die Überprüfung von Benutzeranmeldeinformationen,Geräteanforderungen sowie App-Berechtigungen und -Verhalten. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. | Überprüfen Sie JEA in Ihrer gesamten Organisation, um ungewollte Rechte zu vermeiden, indem Sie sicherstellen, dass den Dateien, Ordnern, Teams und E-Mails die richtigen Berechtigungen zugewiesen werden. Verwenden Sie Vertraulichkeitsbezeichnungen und Richtlinien zum Verhindern von Datenverlust. |
| Gehe von einem Verstoß aus | Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die Ende-zu-Ende-Verschlüsselung und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern. | Verwenden Sie Exchange Online Protection (EOP) und Microsoft-365-Defender-Dienste, um häufige Angriffe automatisch zu verhindern und Sicherheitsvorfälle zu erkennen und darauf zu reagieren. |
Zero Trust implementieren
Wie bereits erwähnt ist es wichtig, dass Copilot nur auf das zugreift, worauf der Benutzer Zugriff hat – aber auch nur dann, wenn Unternehmen das Least-Privilege-Prinzip, also das Prinzip der geringsten notwendigen Berechtigung in M365 problemlos umsetzen können.
Ein weiterer Grundsatz, den es vor der Einführung von Copilot zu berücksichtigen gilt, ist Zero Trust. Ein ganzheitlicher Zero-Trust-Ansatz umfasst die gesamte digitale Umgebung. Dazu gehören Identitäten, Endpunkte, Netzwerk, Daten, Anwendungen und Infrastruktur. Die Zero-Trust-Architektur, die eine umfassende Ende-zu-Ende-Strategie abbildet, erfordert die Integration aller Elemente. Identitäten bilden die Grundlage für Zero-Trust-Sicherheit.
Sowohl menschliche als auch nicht menschliche Identitäten erfordern dabei eine starke Autorisierung. Die Verbindung zu konformen Geräten erfolgt über persönliche oder unternehmenseigene Endpunkte, die den Zugriff auf der Grundlage strenger Richtlinien und bewährter Zero-Trust-Prinzipien – explizite Verifizierung, Zugriff mit den geringstmöglichen Berechtigungen und Assume Breach – anfordern.
Im Rahmen eines End-to-End-Policy-Enforcements fängt die Zero-Trust-Richtlinie die Anforderung ab, prüft explizit auf Basis der Richtlinienkonfiguration die Signale der sechs Grundkategorien und erzwingt den Zugriff mit den geringstmöglichen Berechtigungen. Die Signale beziehen sich auf die Benutzerrolle, den Standort, die Gerätekonformität sowie die Vertraulichkeit von Daten und Anwendungen.
Zusätzlich zu den Telemetrie- und Statusinformationen lässt sich die Bedrohungsrisikobewertung in das Richtlinienmodul integrieren, um automatisch und in Echtzeit auf Bedrohungen zu reagieren. Die Richtlinie wird beim Zugriff durchgesetzt und während der gesamten Sitzung kontinuierlich bewertet.
Fazit
KI-Tools bergen neben allem Nutzen auch Sicherheitsrisiken. Nicht zuletzt ist es wichtig, Werkzeugen wie Copilot nur ausgewählte Informationen zur Verfügung zu stellen. Welche Maßnahmen Sie treffen sollten, um Copilot für Ihr Unternehmen und die Anwender sicherer zu machen und welche Rolle dabei der Zero-Trust-Ansatz spielt, haben wir Ihnen in diesem Artikel aufgezeigt. Mit den richtigen Einstellungen und Sicherheitsvorkehrungen kann Copilot so zu einem wichtigen Helfer im Unternehmen werden.
(ln)